Получите бесплатную консультацию в одном из наших салонов!
Просто оставьте контакты и мы с вами свяжемся
Этот сайт использует сервис Яндекс Метрика и технологию «cookie». Собранная информация поможет нам улучшить работу сайта. Вы всегда можете отключить файлы cookie в настройках вашего браузера. Используя этот сайт, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности.
Политика конфиденциальности
1. Общие положения
1.1. Политика обработки персональных данных (далее - Политика) учреждения – Ортопедические салоны «Пегас» (далее - учреждение, Оператор) является основополагающим локальным нормативным актом учреждения, регулирующим вопросы обработки и защиты персональных данных в учреждении, разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - закон № 152-ФЗ).
1.2. Настоящая Политика определяет цели и правовые основания обработки персональных данных, устанавливает порядок и условия обработки, процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. Положения Политики являются основой для разработки иных локальных нормативных актов учреждения, регламентирующих вопросы обработки и защиты персональных данных.
1.4. Перечень персональных данных, обрабатываемых учреждением и подлежащих защите, закрепляется в локальных нормативных актах Учреждения.
1.5. Иные вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
2. Основные понятия
В настоящей Политике используются следующие основные понятия:
Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
а) Персональные данные, разрешенные субъектом персональных данных для распространения; Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом № 152-ФЗ;
Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка ПД - обработка персональных данных с помощью средств вычислительной техники;
Распространение ПД - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление ПД - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование ПД - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система ПД - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача ПД - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Посетитель сайта - физическое лицо, получающее информацию и документацию, размещенную на веб-сайте учреждения
Потребитель- физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) товары для лечения (профилактики) заболеваний в домашних условиях и иные сопутствующие товары.
Заказчик - физическое (юридическое) лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя;
Поставщик товаров и услуг - физическое лицо, с которым сотрудничает Учреждение в рамках деятельности;
Работник - физическое лицо, вступившее в трудовые отношения с Учреждением на основании трудового законодательства и/или иных основаниях, предусмотренных ТК РФ.
3. Область действия
3.1. Действие настоящей Политики распространяется на все процессы учреждения, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, так и без их использования, с соблюдением принципов и правил, предусмотренных законом № 152-ФЗ.
Действие настоящей Политики не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных фондов в соответствии с законодательством об архивном деле в РФ; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
3.2. Политика применяется, в т.ч., ко всем работникам учреждения.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Учреждение осуществляет обработку персональных данных, в том числе:
• Конституция РФ;
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Трудовой Кодекс РФ;
• Федеральный закон № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в РФ»;
• Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
• Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 402-ФЗ от 06.12.2011 «О бухгалтерском учете»;
• Федеральный закон № 125-ФЗ от 22.10.2004 «Об архивном деле в РФ»;
• Устав и иные локальные нормативные акты учреждения;
• иные нормативные правовые акты РФ и нормативные документы
• уполномоченных органов государственной власти;
• согласие субъектов персональных данных (их законных представителей) на обработку их персональных данных; договоры с поставщиками товаров и услуг.
1. Общие положения
1.1. Политика обработки персональных данных (далее - Политика) учреждения – Ортопедические салоны «Пегас» (далее - учреждение, Оператор) является основополагающим локальным нормативным актом учреждения, регулирующим вопросы обработки и защиты персональных данных в учреждении, разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - закон № 152-ФЗ).
1.2. Настоящая Политика определяет цели и правовые основания обработки персональных данных, устанавливает порядок и условия обработки, процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. Положения Политики являются основой для разработки иных локальных нормативных актов учреждения, регламентирующих вопросы обработки и защиты персональных данных.
1.4. Перечень персональных данных, обрабатываемых учреждением и подлежащих защите, закрепляется в локальных нормативных актах Учреждения.
1.5. Иные вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
2. Основные понятия
В настоящей Политике используются следующие основные понятия:
Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
а) Персональные данные, разрешенные субъектом персональных данных для распространения; Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом № 152-ФЗ;
Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка ПД - обработка персональных данных с помощью средств вычислительной техники;
Распространение ПД - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление ПД - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование ПД - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система ПД - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача ПД - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Посетитель сайта - физическое лицо, получающее информацию и документацию, размещенную на веб-сайте учреждения
Потребитель- физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) товары для лечения (профилактики) заболеваний в домашних условиях и иные сопутствующие товары.
Заказчик - физическое (юридическое) лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя;
Поставщик товаров и услуг - физическое лицо, с которым сотрудничает Учреждение в рамках деятельности;
Работник - физическое лицо, вступившее в трудовые отношения с Учреждением на основании трудового законодательства и/или иных основаниях, предусмотренных ТК РФ.
3. Область действия
3.1. Действие настоящей Политики распространяется на все процессы учреждения, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, так и без их использования, с соблюдением принципов и правил, предусмотренных законом № 152-ФЗ.
Действие настоящей Политики не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных фондов в соответствии с законодательством об архивном деле в РФ; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
3.2. Политика применяется, в т.ч., ко всем работникам учреждения.
4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Учреждение осуществляет обработку персональных данных, в том числе:
• Конституция РФ;
• Гражданский кодекс РФ;
• Налоговый кодекс РФ;
• Трудовой Кодекс РФ;
• Федеральный закон № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в РФ»;
• Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
• Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 402-ФЗ от 06.12.2011 «О бухгалтерском учете»;
• Федеральный закон № 125-ФЗ от 22.10.2004 «Об архивном деле в РФ»;
• Устав и иные локальные нормативные акты учреждения;
• иные нормативные правовые акты РФ и нормативные документы
• уполномоченных органов государственной власти;
• согласие субъектов персональных данных (их законных представителей) на обработку их персональных данных; договоры с поставщиками товаров и услуг.
5. Цели обработки и категории персональных данных:
№1
Цель обработки данных: Ведение кадрового, налогового и бухгалтерского учета.
Персональные данные: сведения документа, удостоверяющеголичность; реквизиты банковской карты; номер расчетного счета;профессия; должность; сведения о трудовой деятельности (в томчисле стаж работы, данные о трудовой занятости на текущее время суказанием наименования и расчетного счета организации); отношениек воинской обязанности, сведения о воинском учете; сведения обобразовании.
Специальные категории персональных данных: сведения о состоянииздоровья.
Категории субъектов, персональные данные которых обрабатываются:
работники; родственники работников; уволенные работники;
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка персональныхданных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, дляосуществления и выполнения возложенных законодательством РоссийскойФедерации на оператора функций, полномочий и обязанностей.
Перечень действий: сбор; запись; систематизация; накопление;хранение; уточнение (обновление, изменение); извлечение;использование; передача (предоставление, доступ); блокирование;удаление.
Способы обработки: смешанная.
№2:
Цель обработки данных: Подбор персонала (соискателей) навакантные должности .
Персональные данные: фамилия, имя, отчество; год рождения;месяц рождения; дата рождения; место рождения; семейноеположение; пол; адрес электронной почты; адрес местажительства; номер телефона; профессия; должность; сведения отрудовой деятельности (в том числе стаж работы, данные отрудовой занятости на текущее время с указанием наименованияи расчетного счета организации); отношение к воинскойобязанности, сведения о воинском учете; сведения обобразовании.
Категории субъектов, персональные данные которых обрабатываются: соискатели.
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъектаперсональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление;хранение; уточнение (обновление, изменение); извлечение;использование; блокирование; удаление; уничтожение.
Способы обработки: смешанная
№3:
Цель обработки данных: Оказание медицинских услуг населению (амбулаторно) при обращении в медицинскую организацию
Персональные данные: фамилия, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефоны, реквизиты паспорта (документа, удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), реквизиты справки МСЭ, местоработы, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и другую информацию - в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг по договору, осуществление иных, связанных с этим мероприятий, а также в целях организации внутреннего учета Оператора, при условии сохранения врачебной тайны.
Категория субъектов, персональные данные которых обрабатываются: пациенты
Правовое основание: обеспечение реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в учреждении, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ, иными федеральными законами; рассмотрение обращений граждан.
Перечень действий: сбор, систематизацию, накопление, хранение, обновление, изменение, использование, передачу, обезличивание, блокирование, уничтожение
Способы обработки персональных данных: на бумажных носителях, в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом. В процессе оказания медицинских услуг Оператор вправе передавать персональные данные, в том числе составляющие врачебную тайну, с соблюдением мер, обеспечивающих их защиту, в интересах обследования, лечения и учета следующим лицам:
- должностным лицам Оператора, а также лицам, обрабатывающим персональные данные с Оператором на основании заключенного с ним договора;
-страховым медицинским организациям (в рамках ОМС), контролирующим органам: ФОМС, ТФОМС, Пенсионный фонд РФ, ФНС, ФСС, Росстату, иным государственным органам.
№ 4: Рассмотрение обращений пользователей сайта
Персональные данные: Ф.И.О., контактные данные (номер телефона, адрес электронной почты).
Категория субъектов, персональные данные которых обрабатываются: пользователи сайта.
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъектаперсональных данных на обработку его персональных данных.
Способы обработки: смешанная.
6. Автоматизированная обработка персональных данных
6.1. Обработка персональных данных организована Оператором на следующих принципах:
• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Условия обработки персональных данных.
6.2.1. Условия обработки специальных категорий персональных данных:
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни учреждением не производится.
6.2.2. Условия обработки специальных категорий персональных данных.
В учреждении осуществляется обработка специальной категории персональных данных:
• в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
• в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
6.2.3. Условия обработки биометрических персональных данных:
Учреждением обрабатываются сведения, которые характеризуют физиологические (рост, вес и другие) и биологические особенности человека, в том числе изображение человека (фотография и видеозапись) на основании которых можно установить его личность (биометрические персональные данные) и которые используются учреждением для установления личности субъекта персональных данных.
Обработка биометрических персональных данных производится на основании локальных нормативных актов по учреждению, информированных согласий субъектов персональных данных (их законных представителей), назначении ответственных лиц.
6.2.4. Условия обработки иных категорий персональных данных.
Обработка иных категорий персональных данных осуществляется учреждением с соблюдением следующих условий:
• обработка персональных данных необходима для исполнения договора, стороной по которому либо выгодоприобретателем или поручителем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
6.2.5. Условия обработки общедоступных персональных данных:
Обработка общедоступных персональных данных учреждением не производится. Учреждение не создает общедоступные источники персональных данных.
6.3. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в т.ч. государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом.
При поручении обработки персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет учреждение. Лицо, осуществляющее обработку персональных данных по поручению учреждения, несет ответственность перед учреждением.
6.4. Работники учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом (конфиденциальность персональных данных).
6.5. Согласие субъекта персональных данных на обработку его персональных данных:
6.5.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
6.5.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие оформляется по форме, разработанной в соответствии с требованиями законодательства и утвержденной учреждением.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются учреждением.
6.5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (его законным представителем).
6.5.4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на учреждение.
6.5.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
6.5.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
6.6. Трансграничная передача персональных данных учреждением не осуществляется.
6.7. Права субъектов персональных данных.
6.7.1. Субъект персональных данных имеет право на получение информации (далее запрашиваемая субъектом информация), касающейся обработки его персональных данных.
6.7.2. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6.8. Обязанности Оператора.
6.8.1. При сборе персональных данных учреждение предоставляет субъекту персональных данных по его просьбе запрашиваемую субъектом информацию.
6.8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, учреждение разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
6.8.3. Если персональные данные получены не от субъекта персональных данных, учреждение до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее - информация, сообщаемая при получении персональных данных не от субъекта персональных данных):
• наименование и адрес Оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.
6.8.4. Учреждение не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:
• субъект персональных данных уведомлен об осуществлении обработки его персональных данных учреждением;
• персональные данные получены учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.
6.8.5. При сборе персональных данных, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных, обрабатываемых в информационных системах Учреждения.
6.9. Учреждение принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей в части обработки персональных данных.
Учреждение самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами, в частности:
• назначение ответственного лица за организацию обработки персональных данных, которое в соответствии со ст. 19 Закона № 152-ФЗ осуществляет организацию обработки персональных данных, организацию организационно-технических мер по обеспечению безопасности персональных данных (защита от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения и пр.), а также обучение и инструктаж, внутренний контроль за соблюдением учреждением и ее работниками требований к защите персональных данных;
• издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации;
• определение актуальных угроз безопасности персональных данных при их обработке в информационных системах, и разработка мер и мероприятий по защите персональных данных;
• установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей, обеспечение их сохранности;
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• сертифицированное программное средство защиты информации от несанкционированного доступа;
• сертифицированные межсетевой экран и средство обнаружения вторжения;
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
• установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• обучение работников учреждения, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
• осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом № 152-ФЗ и Приказом Роскомнадзора от 27.10.2022 № 178;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников
6.10. В Учреждении создана система защиты персональных данных (далее - СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
• подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
• подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, рекламной деятельности, аналитической работы.
• подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
6.11. Обработка персональных данных посетителей и пользователей сайта: Ф.И.О., контактные данные (номер телефона, адрес электронной почты) осуществляется с помощью интеренет-сервиса (метрической программы) Yandex.Metrika.
7. Обработка персональных данных, осуществляемая без использования средств автоматизации
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории
7.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники учреждения или лица, осуществляющие такую обработку по договору с учреждением), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами учреждения.
7.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уничтожение персональных данных на бумажных носителях производится через шредирование или термическую обработку (сжигание).
Уничтожение персональных данных на электронных носителях производится путем воздействия на рабочие слои дисков, чтобы разрушить физическую, магнитную или химическую структуру рабочего слоя (например, механическое разрушение дисков - прессование, ультразвуковое и электрохимическое эрозирование, химическое травление и переплавка дисков).
Документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных, согласно требованиям Приказа Роскомнадзора от 28.10.2022 № 179.
Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
7.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.8. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.9. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Учреждением.
7.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном локальными нормативными актами Оператора.
7.11. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства РФ.
8.12. Оператор обязан представлять документы и локальные акты, указанные в ч. 1 ст. 18.1 закона № 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Закона № 152-ФЗ, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 дней.
8. Ответственность за нарушение
8.1. Лица, нарушающие или не исполняющие требования Политики могут быть привлечены к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 КоАП РФ) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса РФ).
8.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
9. Заключительные положения
9.1. Настоящая Политика утверждается индивидуальным предпринимателем Плахотнюк З.А. и действует бессрочно.
9.2. Пересмотр положений настоящей Политики и их актуализация осуществляется по мере необходимости.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона«О персональных данных»:
1) назначено лицо, ответственное за организацию обработки персональныхданных;
2) изданы документы, определяющих политику оператора в отношенииобработки персональных данных, локальные акты по вопросам обработкиперсональных данных, локальные акты, устанавливающие процедуры,направленные на предотвращение и выявление нарушений законодательстваРоссийской Федерации, устранение последствий таких нарушений.
3) обеспечено применение правовых, организационных и технических мерпо обеспечению безопасности персональных данных в соответствии состатьей 19 настоящего Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработкиперсональных данных Федеральному закону «О персональных данных» ипринятым в соответствии с ним нормативным правовым актам, требованиямк защите персональных данных, политике оператора в отношении обработкиперсональных данных, локальным актам оператора;
5) обеспечено проведение оценки вреда, который может быть причиненсубъектам персональных данных в случае нарушения Федерального закона«О персональных данных», соотношение указанного вреда и принимаемыхмер, направленных на обеспечение выполнения обязанностей,предусмотренных Федеральным законом «О персональных данных»;
6) работники, непосредственно осуществляющих обработку персональныхданных, ознакомлены с положениями законодательства РоссийскойФедерации о персональных данных, в том числе требованиями к защитеперсональных данных, документами, определяющими политику операторав отношении обработки персональных данных, локальными актами повопросам обработки персональных данных, проведено обучение указанныхработников.
№1
Цель обработки данных: Ведение кадрового, налогового и бухгалтерского учета.
Персональные данные: сведения документа, удостоверяющеголичность; реквизиты банковской карты; номер расчетного счета;профессия; должность; сведения о трудовой деятельности (в томчисле стаж работы, данные о трудовой занятости на текущее время суказанием наименования и расчетного счета организации); отношениек воинской обязанности, сведения о воинском учете; сведения обобразовании.
Специальные категории персональных данных: сведения о состоянииздоровья.
Категории субъектов, персональные данные которых обрабатываются:
работники; родственники работников; уволенные работники;
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка персональныхданных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, дляосуществления и выполнения возложенных законодательством РоссийскойФедерации на оператора функций, полномочий и обязанностей.
Перечень действий: сбор; запись; систематизация; накопление;хранение; уточнение (обновление, изменение); извлечение;использование; передача (предоставление, доступ); блокирование;удаление.
Способы обработки: смешанная.
№2:
Цель обработки данных: Подбор персонала (соискателей) навакантные должности .
Персональные данные: фамилия, имя, отчество; год рождения;месяц рождения; дата рождения; место рождения; семейноеположение; пол; адрес электронной почты; адрес местажительства; номер телефона; профессия; должность; сведения отрудовой деятельности (в том числе стаж работы, данные отрудовой занятости на текущее время с указанием наименованияи расчетного счета организации); отношение к воинскойобязанности, сведения о воинском учете; сведения обобразовании.
Категории субъектов, персональные данные которых обрабатываются: соискатели.
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъектаперсональных данных на обработку его персональных данных.
Перечень действий: сбор; запись; систематизация; накопление;хранение; уточнение (обновление, изменение); извлечение;использование; блокирование; удаление; уничтожение.
Способы обработки: смешанная
№3:
Цель обработки данных: Оказание медицинских услуг населению (амбулаторно) при обращении в медицинскую организацию
Персональные данные: фамилия, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефоны, реквизиты паспорта (документа, удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), реквизиты справки МСЭ, местоработы, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и другую информацию - в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг по договору, осуществление иных, связанных с этим мероприятий, а также в целях организации внутреннего учета Оператора, при условии сохранения врачебной тайны.
Категория субъектов, персональные данные которых обрабатываются: пациенты
Правовое основание: обеспечение реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в учреждении, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ, иными федеральными законами; рассмотрение обращений граждан.
Перечень действий: сбор, систематизацию, накопление, хранение, обновление, изменение, использование, передачу, обезличивание, блокирование, уничтожение
Способы обработки персональных данных: на бумажных носителях, в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом. В процессе оказания медицинских услуг Оператор вправе передавать персональные данные, в том числе составляющие врачебную тайну, с соблюдением мер, обеспечивающих их защиту, в интересах обследования, лечения и учета следующим лицам:
- должностным лицам Оператора, а также лицам, обрабатывающим персональные данные с Оператором на основании заключенного с ним договора;
-страховым медицинским организациям (в рамках ОМС), контролирующим органам: ФОМС, ТФОМС, Пенсионный фонд РФ, ФНС, ФСС, Росстату, иным государственным органам.
№ 4: Рассмотрение обращений пользователей сайта
Персональные данные: Ф.И.О., контактные данные (номер телефона, адрес электронной почты).
Категория субъектов, персональные данные которых обрабатываются: пользователи сайта.
Правовое основание обработки персональных данных: обработкаперсональных данных осуществляется с согласия субъектаперсональных данных на обработку его персональных данных.
Способы обработки: смешанная.
6. Автоматизированная обработка персональных данных
6.1. Обработка персональных данных организована Оператором на следующих принципах:
• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Условия обработки персональных данных.
6.2.1. Условия обработки специальных категорий персональных данных:
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни учреждением не производится.
6.2.2. Условия обработки специальных категорий персональных данных.
В учреждении осуществляется обработка специальной категории персональных данных:
• в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
• в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
6.2.3. Условия обработки биометрических персональных данных:
Учреждением обрабатываются сведения, которые характеризуют физиологические (рост, вес и другие) и биологические особенности человека, в том числе изображение человека (фотография и видеозапись) на основании которых можно установить его личность (биометрические персональные данные) и которые используются учреждением для установления личности субъекта персональных данных.
Обработка биометрических персональных данных производится на основании локальных нормативных актов по учреждению, информированных согласий субъектов персональных данных (их законных представителей), назначении ответственных лиц.
6.2.4. Условия обработки иных категорий персональных данных.
Обработка иных категорий персональных данных осуществляется учреждением с соблюдением следующих условий:
• обработка персональных данных необходима для исполнения договора, стороной по которому либо выгодоприобретателем или поручителем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
6.2.5. Условия обработки общедоступных персональных данных:
Обработка общедоступных персональных данных учреждением не производится. Учреждение не создает общедоступные источники персональных данных.
6.3. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в т.ч. государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом.
При поручении обработки персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет учреждение. Лицо, осуществляющее обработку персональных данных по поручению учреждения, несет ответственность перед учреждением.
6.4. Работники учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом (конфиденциальность персональных данных).
6.5. Согласие субъекта персональных данных на обработку его персональных данных:
6.5.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
6.5.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие оформляется по форме, разработанной в соответствии с требованиями законодательства и утвержденной учреждением.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются учреждением.
6.5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (его законным представителем).
6.5.4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на учреждение.
6.5.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
6.5.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
6.6. Трансграничная передача персональных данных учреждением не осуществляется.
6.7. Права субъектов персональных данных.
6.7.1. Субъект персональных данных имеет право на получение информации (далее запрашиваемая субъектом информация), касающейся обработки его персональных данных.
6.7.2. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6.8. Обязанности Оператора.
6.8.1. При сборе персональных данных учреждение предоставляет субъекту персональных данных по его просьбе запрашиваемую субъектом информацию.
6.8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, учреждение разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
6.8.3. Если персональные данные получены не от субъекта персональных данных, учреждение до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее - информация, сообщаемая при получении персональных данных не от субъекта персональных данных):
• наименование и адрес Оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.
6.8.4. Учреждение не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:
• субъект персональных данных уведомлен об осуществлении обработки его персональных данных учреждением;
• персональные данные получены учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.
6.8.5. При сборе персональных данных, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных, обрабатываемых в информационных системах Учреждения.
6.9. Учреждение принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей в части обработки персональных данных.
Учреждение самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами, в частности:
• назначение ответственного лица за организацию обработки персональных данных, которое в соответствии со ст. 19 Закона № 152-ФЗ осуществляет организацию обработки персональных данных, организацию организационно-технических мер по обеспечению безопасности персональных данных (защита от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения и пр.), а также обучение и инструктаж, внутренний контроль за соблюдением учреждением и ее работниками требований к защите персональных данных;
• издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации;
• определение актуальных угроз безопасности персональных данных при их обработке в информационных системах, и разработка мер и мероприятий по защите персональных данных;
• установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей, обеспечение их сохранности;
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• сертифицированное программное средство защиты информации от несанкционированного доступа;
• сертифицированные межсетевой экран и средство обнаружения вторжения;
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
• установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• обучение работников учреждения, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
• осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;
• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом № 152-ФЗ и Приказом Роскомнадзора от 27.10.2022 № 178;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников
6.10. В Учреждении создана система защиты персональных данных (далее - СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
• подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
• подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, рекламной деятельности, аналитической работы.
• подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
6.11. Обработка персональных данных посетителей и пользователей сайта: Ф.И.О., контактные данные (номер телефона, адрес электронной почты) осуществляется с помощью интеренет-сервиса (метрической программы) Yandex.Metrika.
7. Обработка персональных данных, осуществляемая без использования средств автоматизации
7.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории
7.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники учреждения или лица, осуществляющие такую обработку по договору с учреждением), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами учреждения.
7.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уничтожение персональных данных на бумажных носителях производится через шредирование или термическую обработку (сжигание).
Уничтожение персональных данных на электронных носителях производится путем воздействия на рабочие слои дисков, чтобы разрушить физическую, магнитную или химическую структуру рабочего слоя (например, механическое разрушение дисков - прессование, ультразвуковое и электрохимическое эрозирование, химическое травление и переплавка дисков).
Документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных, согласно требованиям Приказа Роскомнадзора от 28.10.2022 № 179.
Акт об уничтожении персональных данных подлежит хранению в течение 3 лет с момента уничтожения персональных данных.
7.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
7.8. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.9. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Учреждением.
7.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном локальными нормативными актами Оператора.
7.11. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства РФ.
8.12. Оператор обязан представлять документы и локальные акты, указанные в ч. 1 ст. 18.1 закона № 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Закона № 152-ФЗ, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 дней.
8. Ответственность за нарушение
8.1. Лица, нарушающие или не исполняющие требования Политики могут быть привлечены к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 КоАП РФ) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса РФ).
8.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
9. Заключительные положения
9.1. Настоящая Политика утверждается индивидуальным предпринимателем Плахотнюк З.А. и действует бессрочно.
9.2. Пересмотр положений настоящей Политики и их актуализация осуществляется по мере необходимости.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона«О персональных данных»:
1) назначено лицо, ответственное за организацию обработки персональныхданных;
2) изданы документы, определяющих политику оператора в отношенииобработки персональных данных, локальные акты по вопросам обработкиперсональных данных, локальные акты, устанавливающие процедуры,направленные на предотвращение и выявление нарушений законодательстваРоссийской Федерации, устранение последствий таких нарушений.
3) обеспечено применение правовых, организационных и технических мерпо обеспечению безопасности персональных данных в соответствии состатьей 19 настоящего Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработкиперсональных данных Федеральному закону «О персональных данных» ипринятым в соответствии с ним нормативным правовым актам, требованиямк защите персональных данных, политике оператора в отношении обработкиперсональных данных, локальным актам оператора;
5) обеспечено проведение оценки вреда, который может быть причиненсубъектам персональных данных в случае нарушения Федерального закона«О персональных данных», соотношение указанного вреда и принимаемыхмер, направленных на обеспечение выполнения обязанностей,предусмотренных Федеральным законом «О персональных данных»;
6) работники, непосредственно осуществляющих обработку персональныхданных, ознакомлены с положениями законодательства РоссийскойФедерации о персональных данных, в том числе требованиями к защитеперсональных данных, документами, определяющими политику операторав отношении обработки персональных данных, локальными актами повопросам обработки персональных данных, проведено обучение указанныхработников.
средства обеспечения безопасности: определены угрозы безопасностиперсональных данных при их обработке в информационных системахперсональных данных, применяются модели актуальных угроз ивыполняются меры по их нейтрализации, обеспечен учет машинныхносителей персональных данных, осуществляется контроль запринимаемыми мерами по обеспечению безопасности персональныхданных и уровня защищенности информационных систем персональныхданных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных.